Trước khi bắt đầu cài đặt OSSEC HIDS, bạn phải biết sự khác nhau cơ bản giữa những kiểu cài đặt và phương thức đặt kế hoạch triển khai. OSSEC HIDS có thể được cài đặt trên một hệ thống, trên nhiều hệ thống nhằm cung cấp sự bảo vệ cho một mạng lớn, hay trên một vài hệ thống với kế hoạch để ước tính sự triển khai sau đó nhằm bảo mật cho toàn bộ tổ chức.
Có 3 kiểu cài đặt OSSEC:
- Cài đặt nội bộ: được sử dụng để bảo mật và bảo vệ một host.
- Cài đặt trên agent: được sử dụng để bảo mật và bảo vệ các host trong khi báo cáo quay trở lại một OSSEC trung tâm.
- Cài đặt trên server: được sử dụng để tập hợp thông tin từ những agent của OSSEC đã triển khai thu thập những sự kiện của syslog từ những thiết bị bổ sung.
Khi nào là cần thiết nhất để cài đặt HIDS? Đây là một câu hỏi quan trọng mà trả lời thì thật là khó. Theo đúng ý tưởng thì khi xây dựng một host mới, ta phải làm theo một danh sách kiểm tra để chắc chắn rằng một baseline bảo mật thông thường sẽ phải bắt buộc qua các hệ thống. Chúng ta sẽ áp dụng những bản vá mới nhất và những bản phù hợp nhất cho hệ điều hành và những ứng dụng để đảm bảo chắc chắn rằng một thứ được bảo vệ để chống lại những lỗi, những chỗ khai thác và những điểm yếu.
Trong suốt quá trình đó, ta nên chuẩn bị triển khai hệ thống theo các bước sau: - Bỏ đi tất cả những ứng dụng không cần thiết.
- Tắt bỏ các dịch vụ không cần thiết.
- Điều chỉnh các rule của tường lửa để bảo vệ host. - Cài đặt phần mềm diệt spyware.
- Cài đặt giải pháp HIDS.
Chúng ta có thế cài đặt một HIDS trên một host đang tồn tại, nhưng luôn có khả năng mà một rootkit sẵn sàng bị cài vào, thì sẽ thỏa hiệp đường cơ sở toàn vẹn của việc vài đặt HIDS. Có hàng loạt công cụ sẵn có giúp chúng ta phát hiện những rootkit nếu như sự cài đặt mới không có một tùy chọn nào:
- Rootkit Revealer: là một tiện ích phát hiện rootkit cải tiến. Nó áp dụng từ Windows NT 4 trở lên và đầu ra sẽ lên danh sách đăng ký và những điều không nhất quán trong API của hệ thống file đã chỉ ra sự hiện diện của chế độ người dùng hay chế độ kernel. - GMER: là một ứng dụng phát hiện và chuyển rời các rootkit. Nó có thế quét các tiến trình ẩn, tuyến đoạn ẩn, môdun ẩn, dịch vụ ẩn, file ẩn, dòng dữ liệu không ổn định ẩn, và những key đăng ký ẩn. GMER cũng có thể quét các trình điều khiển dành cho việc móc nối SSDT, móc nối IDT, móc nối các cuộc gọi IRP và những móc nối nội tuyến.
- Helios: được thiết kế nhằm phát hiện, loại bỏ và làm tăng sức đề kháng chống lại những rootkit hiện đại. Điều làm nên sự khác biệt giữa nó với những phần mềm diệt virus thông dụng hay những sản phẩm chống spyware, đó chính là nó không tin cậy vào một CSDL các chữ kỹ đã biết.
- Strider GhostBuster phát hiện các rootkit API ẩn bằng cách thực hiện một sự kiểm định giữa “sự thật” và “nói dối”. Nó không được dựa vào một chữ ký tồi và không tin cậy trạng thái tốt. Nó nhằm tới điểm yếu chức năng của các rootkit ẩn và đổi hành động ẩn thành cơ chế phát hiện riêng của nó.
- ProDiscover Incident Response: có thể tìm kiếm hệ thống khả nghi trong toàn bộ 400 trojan hay rootkit đã được biết.
- Sophos Anti-Rootkit cung cấp một tầng phát hiện mở rộng, bằng cách phát hiện tin cậy và an toàn, và di chuyển bất kỳ rootkit nào có thể sẵn sàng được cài vào hệ thống. - Chrootkit là một bộ tiện ích để kiểm tra cục bộ nếu như ai đó đã cài một rootkit lên hệ thống của bạn. Nó phát hiện được khoảng 50 loại rootkit, mô đun nhân, va sâu mạng. Nó cũng có khả năng kiểm tra những nhị phân sửa đổi rootkit, để kiểm tra nếu nhị phân giao diện nằm trong chế độ không phân loại, và kiểm tra sự xóa bỏ log.
Đây mới chỉ là một phần nhỏ trong những công cụ chống rootkit sẵn có. Muốn biết thêm chi tiết, chúng ta có thể vào trang antirootkit.com để xem đầy đủ danh sách về phần mềm diệt rootkit.